Big Data in der Automobilindustrie Rechtsfragen zur Wertschöpfung durch Datenauslese Big Data Summit Hanau 25. Februar 2015 Dr. Alexander Duisberg
Übersicht Big Data Wege in die Wertschöpfung Wem gehören die Daten? Das Recht des Datenbankherstellers Daten- und Datenbanktransaktionen Datenschutz und kein Ende wo beginnt und endet Anonymisierung? Datenschutz & Automotive wo steht die Diskussion? Fazit Seite 2
Big Data Wege in die Wertschöpfung
Wie groß? Seite 4
Neue Größen Seite 5
Zettabyte? Seite 6
Daten Das Öl des 21. Jahrhunderts? Ja, aber Seite 7 "Images are used for educational and study purposes only"
Seite 8 "Images are used for educational and study purposes only"
Wem gehören die Daten?
Wem gehören die Daten? "Unsere Daten", "meine Daten", "deren Daten"? Kein zivilrechtliches Eigentum Keine bewegliche Sache ( 90 BGB) Wenn kein Eigentum, dann auch keine Eigentumsübertragung! Regelungslücke im System? Seite 10
Schutzrechte an Daten Daten als zentrales Wirtschaftsgut welcher Schutz? Urheberrecht nur wenn Schöpfungshöhe Wettbewerbsrecht als Betriebs- und Geschäftsgeheimnisse ( 17 UWG) Strafrecht Ausspähen und Abfragen von Daten ( 202a, b StGB) Zivilrechtlich Schadensersatz und Unterlassung ( 823, 1004 BGB) ABER: KEIN PROPRIETÄRER DATENBEGRIFF Wie gehen dann Daten-Transaktionen? Seite 11
Zugang zu Daten Zugang durch Regulierung und Kartellrecht Systeme der Betriebsunterstützung oder ähnliche Softwaresysteme im TK-Sektor ( 21 Abs. 2 Nr. 5 TKG) Energie-Messdaten (MessZV) Diagnosedaten (OBD) im Automobilsektor (EU-Verordnungen, GVO und Euro 5/6 Normen) Steuerungs- und Sicherungssysteme im Bahnsektor ( 14 Abs. 1 AEG) Open Data der öffentlichen Verwaltung (PSI Richtlinie) z.zt. Lobbying der Versicherungsbranche bzgl. Fahrzeugbewegungsdaten Seite 12
Recht des Datenbankherstellers Wo beginnt es wie weit reicht es?
Recht des Datenbankherstellers (1) Was ist eine Datenbank? 87a Abs. 1 UrhG: "Datenbank im Sinne dieses Gesetzes ist eine Sammlung von Werken, Daten oder anderen unabhängigen Elementen, die systematisch oder methodisch angeordnet und einzeln mit Hilfe elektronischer Mittel oder auf andere Weise zugänglich sind und deren Beschaffung, Überprüfung oder Darstellung eine nach Art oder Umfang wesentliche Investition erfordert. Eine in ihrem Inhalt nach Art oder Umfang wesentlich geänderte Datenbank gilt als neue Datenbank, sofern die Änderung eine nach Art oder Umfang wesentliche Investition erfordert." Sammlung Trennbarkeit der Daten/Elemente Elektronischer Einzelabruf Systematische oder methodische Anordnung Investition Seite 14
Schutzumfang Investitionsschutz Schützt Investor und seine Investition in die Ordnungsstruktur Quasi-Eigentum für 15 Jahre (sui generis Recht) Weiterentwicklung von Datenbanken Neuer sui generis Schutz Abgrenzungsfragen Schrankenbestimmungen (u.a. Forschung, Lehre ( 87 c UrhG)) Grenzen des Schutzes Kein Schutz per se für Datenbankinhalte / einzelne Datensätze Zwingendes Recht bleibt unberührt, v.a. Kartellrecht (Datenmonopole!) Datenschutzrecht Seite 15
Recht des Datenbankherstellers (2) Systematische oder methodische Anordnung Zweigliedriger Datenbankbegriff Datensammlung Abfragesystem Daten können ungeordnet gespeichert sein Elektronische Einzelabfrage Verbindung mit Abfragesystem entscheidend (OLG Köln v. 15.12.2006 6 U 229/05) Seite 16
Recht des Datenbankherstellers (3) Was folgt daraus für Strukturiert Abfragesystem (ggf. auch für ungeordnete Daten) = Schutz aus 87a UrhG Unstrukturiert Kein Abfragesystem = Schutz aus 87a UrhG Unstrukturiert Abfragesystem = (evtl.) Seite 17 Welches Abfragesystem schafft die Einzelauslese bzw. zielgerichtete Recherche welcher unstrukturierter Daten?
Verwertung Wertschöpfung entlang der Erstellungs- und Verwertungskette Komplexe, mehrschichtige Erstellungsprozesse Wer ist Hersteller und wer ist Nutzer? Was tun bei Auseinanderfallen von Datenquelle und Datenabfragesystem? Schutz vor Weiterentwicklung von Datenbank durch Dritte? Vertragliche Regelungen zwingend erforderlich! Seite 18
Sensor- und Fahrzeugbewegungsdaten (1) Telematik- Dienstleister? Smartphone- Betriebssysteme Steuergeräte Telematik- Box Blackbox Seite 19
Sensor- und Fahrzeugbewegungsdaten (2) Wer ist Hersteller? Wer ist Nutzer? Wer trägt die Investition? Funktionaler Datenbankbegriff (EuGH, 9. 11. 2004 - C-444/02) bei Mitteln zum Auffinden vorhandener Elemente und deren Zusammenstellung in der Datenbank bei Mitteln nur zur Generierung der Daten Seite 20 "Images are used for educational and study purposes only"
Sensor- und Fahrzeugbewegungsdaten (3) Also: Wer denn nun? Autofahrer wohl, erzeugt Daten, aber betreibt er das Abfragesystem? Versicherungen, kein Abfragesystem, keine wesentliche Investition Betreiber der Abfragesysteme: Erlaubt zielgerichtete Datenauslese Wesentliche Investition Mehrteilige Leistungskette: Telematik-Box Telematik- Dienstleister? Zugriffsrechte unklar & offen Seite 21
Metadaten unklar & offen Fallen Metadaten als solche unter Datenbankbegriff? Strukturelement (Informationen über andere Daten) Einzeln und elektronisch auslesbar? Methodisch oder systematisch angeordnet? Keine direkten Beispiele aus der Rechtsprechung, aber denkbare Herleitung aus: Seite 22 Metadaten- Verträge ebay-angebotsdatenbank bzgl. Infos zu Produkt, Preis, Verkäufer (LG Berlin, 22. Dezember 2005 16 O 743/05) Fixtures-Fußballspielpläne bzgl. Infos zu Datum, Uhrzeit, Ort, Mannschaften eines Spiels (EuGH, 9. 11. 2004 - C- 444/02)
Daten- und Datenbanktransaktionen
Daten- und Datenbanktransaktionen (1) Transaktionsfähigkeit strukturierter Daten Datenbanklizenzverträge über Vertrag Offline- und Online-Datenbanken Überlassung einer Datenbank / Teile einer Datenbank Kauf oder Miete (unbefristet oder befristet?) Was ist mit unstrukturierten Daten? Keine Datenbanklizenzverträge, wenn kein Abfragesystem Transaktionsfähigkeit? Grundsatz der Vertragsfreiheit Kauf bei entgeltlicher, zeitlich unbegrenzter Überlassung Miete denkbar? Schwierige Beschreibung des Leistungsgegenstandes Haftung und Gewährleistung für was? Seite 24
Vertragliche Lösungsansätze (1) Ziele der Vertragsgestaltung Nutzungsrechte an Datenbanken (inkl. strukturierter Daten) und/oder an unstrukturierten Daten Abgrenzungsfragen und Risikoabsicherung Schutz vor unberechtigter Veränderung Haftungsfreistellung gegenüber Datenlieferanten Haftungsbegrenzung bei Übertragung/Auslizenzierung Was sind angemessene Haftungsgrenzen? Vor Datentransaktionen Due Diligence Datenherkunft Rechte Dritter (u.a. 87a UrhG) Zugangsrechte aus Regulierung Datenschutz-Compliance Risikobewertung Seite 25
Vertragliche Lösungsansätze (2) Eckpunkte eine Datenbanktransaktion Kauf-, Miet-, Dienst- oder Werkvertrag? Vergütungsmodelle Beschreibung des Leistungsgegenstandes Zustimmungsbedürftige Nutzung und Vervielfältigung Bei Auslizenzierung: Untersagung wesentlicher Veränderungen Datenschutz-Compliance Gewährleistung und Haftung Exit- und Rückgewähr Seite 26
Datenschutz und kein Ende wo beginnt und endet Anonymisierung?
Datenschutz und kein Ende Relevanz für Automotive Datenschutz nur für personenbezogene Daten Personenbezug liegt häufig gar nicht vor Aber aus Verknüpfung von Datenquellen (Analytics) Sitz der verantwortlichen Stelle / Ort der Ersterhebung entscheidet über international anwendbares Datenschutzrecht Gemengelagen Datenlieferant vs. Datenbankhersteller Verantwortlichkeiten vertraglich abgrenzen Einwilligung des Betroffenen? Informierte Einwilligung Vertragsgestaltung gegenüber Endkunden Bei großen Datenmengen kaum durchführbar Vertrag Seite 28
Datenschutz und kein Ende wo beginnt und endet Anonymisierung? Personenbezogene Daten vermeidbar? Anonymisierung (z.b. durch Aggregierung, Gruppenbildung) Personenbezug irreversibel entfernen De-Anonymisierung durch Kombination mit anderen Datenquellen? Art 29 WP Stellungnahme zu Anonymisierung (10.04.2014) Pseudonymisierung (z.b. durch Löschung Hashwerte und Ursprungsdaten) "Kleiner Bruder der Anonymisierung" Rechtsfolgen unklar Auftrag an Datenschutzbehörden, Gesetzgeber Maßnahme der Risikominderung Risikoanalyse Kernfrage an Regulierer Seite 29
Allgemeine Lösungsansätze (1) Kryptographische Verschlüsselung? Schlüsselinhaber kann Personenbezug wiederherstellen, Datenschutzrecht bleibt anwendbar Für andere pseudonymisierend oder anonymisierend Datenschutz (nicht) anwendbar Prozesskette End-2-End Anonymisierung in Teilabschnitten? Anonymisierung von Datenflüssen innerhalb eines Konzerns möglich (str.) Abstimmung mit den Datenschutzbehörden IT SicherheitsG in Vorbereitung Entwurf der Bundesregierung v. 17.12.2014 Seite 30
Allgemeine Lösungsansätze (2) Auftragsdatenverarbeitung Auftragsdatenverarbeitung mit Infrastruktur-Dienstleistern Bestimmbarkeit der Datenkategorien und Betroffenen? Weisungsgebundenheit Hohe Anforderungen an technische und organisatorische Sicherheit ( 9 BDSG; BSI-Grundschutz) Datenschutz in Zeiten der Cloud Zertifizierung von Cloud-Diensten (in Vorbereitung, siehe Art 39a DS-GVO) Siehe Arbeit AG Rechtsrahmen "Trusted Cloud" (www.trusted-cloud.de) Seite 31 "Images are used for educational and study purposes only"
Datenpannen Maßnahmen nicht erst im Krisenfall! Resourcenplanung darauf ausrichten Aufgabe für oberes oder Top-Management Handlungsplan aufsetzen Datenpannen feststellen Auf kritische Fälle eingrenzen Internationale Dimension "Document retention" und "litigation hold" (USA)! Mitteilungspflichten (Behörden und Betroffene) Timing Logistik Umfang der Information Seite 32
Datenschutz & Automotive wo steht die Diskussion?
Einleitung Veränderte Mobilität: Nutzung statt Besitz (z.b. "shared mobility") Auto als Datensammler Verbesserter Service Neue Geschäftsmodelle Auto als Überwachsungsinstrument und Zeuge gegen Fahrer? Fahrer auch beim Datenschutz "im Fahrersitz"? Datenschutzrecht und Verbraucherschutzrecht wachsen/ gehören zusammen IT-Sicherheit im Fahrzeug wird Thema Seite 34
Datenschutz & Automotive erste Ansätze Hinweisen und informieren Muster-Information des VDA und des Bayrischen Landesamts für Datenschutzaufsicht v. 2012 als erster Schritt, aber unvollständig Rechtsnatur unklar Zielt auf Interessensausgleich bei Datenschutz Datenschutz-Prinzipien für vernetzte Fahrzeuge des VDA v. 3.November 2014 Zielvorgaben ("streben an") für "privacy by design"; keine klaren Standards, keine Beteiligung der Datenschutzbehörden Transparenz: Aufklärung über Daten und Verwendung, Einteilung der Daten in sechs Kategorien (u.a. Daten aufgrund gesetzlicher bzw. vertraglicher Regelung, kundeneigene Daten, technische Daten) Selbstbestimmung: hinsichtlich Verarbeitung und Nutzung personenbezogener Daten Datensicherheit: Schutz vor Manipulation und Missbrauch Seite 35 "Images are used for educational and study purposes only"
Forderungen des BMJV an OEMs (Heiko Maas, Bundesminister d. Justiz und für Verbraucherschutz, Safer Internet Day 2015) Privacy by design Datenvermeidung & Datensparsamkeit Zweckbindung der Datenerhebung Car-to-X Kommunikation mit Einwilligung des Fahrers/Halters Fahrer/Halter müssen Datenübermittlung erkennen, abändern und stoppen können Fahrer/Halter müssen Zugriff auf Daten im Fahrzeug bekommen (Fahrer beim Thema Daten im Fahrersitz ) Datensicherheit Seite 36
Thesen / Forderungen bzgl. connected car (Klaus Müller, Vorstand Verbraucherzentrale Bund e.v., Safer Internet Day 2015) Stärkung der Zweckbindung bei Datenerhebung Schlüssel für OEMs: Anonymisieren und Pseudonymisieren Abschalten der Zündung = Datenlöschung Fahrer hat Datenhoheit, d.h. er kann Strom der Daten nach außen jederzeit unterbrechen. Volle Transparenz für Fahrer, welche Daten übertragen werden. Problem Dateneigentum: Produktbeobachtung rechtfertigt kein Eigentum des OEM; Daten müssen für Fahrer und Behörde künftig zugänglich gemacht werden Bord-OS aller OEMs muss gleich sein (standardisierte Schaltflächen) Ausgestaltung des Autokaufs? Mehrere Verträge wirklich nötig? Rechtlicher Umgang mit Smartphone Integration? Seite 37
Praktische Lösungsansätze zu privacy by design (Jürgen Bönninger, Geschäftsführer FSD GmbH, Safer Internet Day 2015) Erste Schritte im Fahrzeug: Authentifizierung des Fahrers (z.b. PIN) Transparenz im System / Kontrolle der Datenerhebung durch hervorgehobene Register im (OS) (default-taste on / off zum Rücksetzen aller Funktionen, die Daten erheben und senden; Taste muss im Register übergeordnet sein) Transparenz des OS bzgl. Datenübermittlung (z.b. eigener Reiter Datenschutz mit Anzeige aller Dienste, die Daten übermitteln) "on"/ "off"-taste für jeden Datendienst Einwilligung des Fahrers in alle Datendienste / bei Fehlen keine Datenübertragung Fahrer muss Einstellungen jederzeit ändern können Fahrer muss Zugriff auf wartungsrelevante Daten haben, inklusive Löschfunktion Seite 38
Fazit
Fazit Daten das zentrale Asset innovativer Mobilität Eigentum an Daten Schutzlücke auf Dauer? Datenbanklizenzverträge Massiver Trend Unerlässlich für Datenbereitstellung und Risikoabsicherung Datenschutz & Automotive Anonymisierung & Pseudonymisierung Lösungsansätze privacy by design Kontrolle des Halters / Fahrers Aufbruch ins Zeitalter der Datenökonomie Seite 40 "Images are used for educational and study purposes only"
Über Bird & Bird LLP
Über Bird & Bird LLP Eine der führenden internationalen Kanzleien 27 Büros und über 1.100 Anwälte weltweit Führend im Technologiebereich Umfassende Beratung in allen Praxisgruppen Enge Zusammenarbeit mit Kanzleien in Europa, im Nahen Osten, in Asien und in den USA Abu Dhabi, Bratislava, Brüssel, Budapest, Kopenhagen, Dubai, Düsseldorf, Frankfurt, Den Haag, Hamburg, Helsinki, Hong Kong, London, Lyon, Madrid, Mailand, München, Paris, Peking, Prag, Rom, Shanghai, Singapur, Skanderborg, Stockholm, Sydney und Warschau Seite 42
''It stands out as one of the best international firms ; a large specialist in this area." Chambers Global 2014
"Die 'top' IT-Praxis von Bird & Bird rund um Alexander Duisberg agiert auf 'sehr hohem Niveau'." Legal 500 2015 A 'guru" on matters involving online commerce, cloud computing, big data, data protection and software and services distribution" Who's Who Legal 2015 Dr. Alexander Duisberg Steering Group Tech & Comms Bird & Bird LLP, München +49 89 3581 6239 alexander.duisberg@twobirds.com Bird & Bird is an international legal practice comprising Bird & Bird LLP and its affiliated businesses. www.twobirds.com